安全研究机构StepSecurity近日披露，知名Java库Axios的两个npm版本——[email protected]和[email protected]，遭黑客植入恶意代码。此次攻击通过劫持核心维护者“jasonsaayman”的npm账号实施，黑客将账号邮箱替换为匿名ProtonMail地址后，绕过GitHub Actions自动化流程，手动发布了被污染的版本，并通过npm CLI直接上传恶意安装包。 恶意 ...

继上周，中几乎所有前端开发者都用过的 HTTP 客户端库 Axios 也“惨遭毒手”： 两个官方版本被植入后门，只要在窗口期执行过 npm install，黑客就能拿到你设备的完整控制权。

IT之家 3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 [email protected]、[email protected] 被恶意植入远程控制代码。

Axios，npm 上周下载量过亿的 HTTP 客户端，被朝鲜黑客植入了远控木马。 而这一天，恰好也是 Claude Code 源码泄露的同一天。3 月 31 日和愚人节的 npm 生态，属实是热闹了。 3 月 31 日 00:21 UTC，有人用 Axios 主维护者 jasonsaayman 的账号，往 npm 上推了两个新版本：axios@1. ...